Sujet Précédent Sujet Suivant

PC infecter par le trojan Win32:Jifas-ED

Résolu/Fermé
Goldenshark - 28 févr. 2010 à 13:09
 Utilisateur anonyme - 1 mars 2010 à 18:53
Bonjour,

Après un week end au ski je rentre et m'aperçoit que avast detecte ce trojan, Win32:Jifas-ED, qui met un publicité pour un soit disant antivirus, en cliquant dessus avast m'affiche le message. Meme windows security software s'y met.

Après avoir essayé de me debrouiller tout seul, tout supprimer avec MBAM, mon pc bug, je redemarre l'ordi et impossible de faire quoi que ce soit, il se bloque.

J'ai donc formaté ma parti C et garde ma partition D avec mes données, et quelques minutes après avoir installer avast rebelote avec cette soit disant pub pour antivirus et avast qui bloque.

J'espere avoir été clair, je reste à votre dispotision si questions.

Eremerciant d'avance ceux qui m'aideront.
A voir également:

40 réponses

Précédent
  • 1
  • 2
Réponse 21 / 40
goldenshark
28 févr. 2010 à 16:56
Autre petite question,

pour usbfix j'ai selectionné pour la demarche la clé qui a transmis le trojan de mon ordi perso à l'ordi familial, mais je soupçonne une autre clé d'etre infecté par le fichier qui seraut à l'origine de l'infection de mon ordi perso par je suppose un ordi de l'université.

Faut-il que je réitère la demarche usbfix avec cette clé egalement ?
0
Utilisateur anonyme
28 févr. 2010 à 17:04
Re

Il était précisé de brancher tous les supports ;donc oui tu répètes l'opération.
0
Réponse 22 / 40
goldenshark
28 févr. 2010 à 17:06
Daccord merci,

je verrai ça plus tard alors pas trop envie de travailler sur l'ordi familial avec ce genre de fichier.
0
Réponse 23 / 40
goldenshark
28 févr. 2010 à 17:18
Voila le rapport de MBAM

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3806
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28/02/2010 17:12:09
mbam-log-2010-02-28 (17-12-09).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 146732
Temps écoulé: 30 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Mireille\Menu Démarrer\Programmes\Démarrage\ihaupd32.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\w4dtrpicut.dll.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\4DW4R3.sys.vir (Malware.Packer) -> Delete on reboot.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\4DW4R3SHmSKQFRBQ.sys.vir (Malware.Packer) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\iahxvdrn.sys.vir (Rootkit.Agent) -> Delete on reboot.
C:\System Volume Information\_restore{05E10CDD-9DD5-4D44-8022-CDA8056B86E2}\RP1\A0000033.sys (Rootkit.Agent) -> Delete on reboot.
0
Utilisateur anonyme
28 févr. 2010 à 17:28
Re

1)Désinstalle Ad aware et conserve Malwaresbytes.

2)Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.

3)Télécharges Toolscleaner afin de supprimer les logiciels de désinfection inutiles

---> Télécharge Toolscleaner sur ton Bureau.
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
* Double-clique sur ToolsCleaner2.exe(ou clic droit « exécuter en tant que administrateur » pour Vista)pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

4)Tu disposes de Ccleaner ;passe le avec ces réglages:
.double-cliques sur <gras>l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur <gras>option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
. coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.clique maintenant sur registre et puis sur rechercher les erreurs
.laisse tout coché et clique sur réparer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et <gras>fermer tu vérifies en relançant <gras>rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm

@+
0
Réponse 24 / 40
goldenshark
28 févr. 2010 à 17:47
1 fait

2 je mets à jour java pour pouvoir le faire

3 voici le rapport

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Mireille\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Mireille\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Mireille\Bureau\Rsit.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Mireille\Bureau\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Mireille\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Mireille\Bureau\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !



4 fait
0
Utilisateur anonyme
28 févr. 2010 à 17:52
Re

Supprime également ce fichier sur ton bureau:asdehi.exe (ComboFix renommé)
@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 40
goldenshark
28 févr. 2010 à 17:54
voila c'est fait.

j'en conclue que pour ce PC tout est ok ?

Je te remercie deja pour l'aide.
0
Utilisateur anonyme
28 févr. 2010 à 18:03
Re

Donc ;maintenant passons à l'autre PC.

Tu ne disposes que du mode sans échec et sans prise en charge réseau;donc pas d'internet.
C'est exact?

@+
0
Réponse 26 / 40
goldenshark
28 févr. 2010 à 18:05
Après l'avoir laissé il a fini par se demarrer "normalement", c'est à dire très lentement mais si je redemarre je vais encore en avoir pour un long moment.

Mais il prend en charge le reseau donc internent en sans echec c'est bon aussi.
0
Utilisateur anonyme
28 févr. 2010 à 18:07
Re

Impeccable

a) Télécharge et installe le logiciel HijackThis :

https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-->Clique sur le setup pour lancer l'installation : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l’installation, le programme se lance automatiquement : ferme le en cliquant sur la croix rouge.
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

(Ne lance pas ce prg pour l'instant et fais la suite ... )

b) Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer.

Clic droit sous VISTA (exécuter en tant que…)

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


-> laisse faire le scan et ne touche pas au PC ...

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).

Poste le contenu de " log.txt " (c'est celui qui apparaît à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante ...
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...
( Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... )

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit

@+
0
Réponse 27 / 40
goldenshark
28 févr. 2010 à 18:12
info :

info.txt logfile of random's system information tool 1.06 2010-02-28 14:01:17

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
avast! Free Antivirus-->C:\Program Files\Alwil Software\Avast5\aswRunDll.exe "C:\Program Files\Alwil Software\Avast5\Setup\setiface.dll" RunSetup
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Motorola SM56 Data Fax Modem-->rundll32.exe sm56co6a.dll,SM56UnInstaller
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Remote Controller-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2B802EBE-CDAD-477C-9AD4-069615D377EB}\Setup.exe" -l0x9 -removeonly
Windows Driver Package - ITE Tech.Inc. (ITECIR) System (12/28/2006 3.05.0003.3)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\DPInst.exe /u C:\WINDOWS\system32\DRVSTORE\itecir_C527C1E1FF3C2EB08AB293DE43098FEF974ECCE2\itecir.inf

======Security center information======

AV: avast! Antivirus (disabled)

======System event log======

Computer Name: XPSP2-5A373D004
Event Code: 3260
Message: Cet ordinateur a correctement été joint au workgroup 'WORKGROUP'.

Record Number: 5
Source Name: Workstation
Time Written: 20100228121504.000000+060
Event Type: Informations
User:

Computer Name: XPSP2-5A373D004
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers XPSP2-5A373D004.

Record Number: 4
Source Name: EventLog
Time Written: 20100228121414.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 7036
Message: Le service est entré dans l'état : \DEVICE\{DE030CEC-D528-47FE-8926-2D4004A6EA6F}.

Record Number: 3
Source Name: NETw4x32
Time Written: 20100228131332.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.

Record Number: 2
Source Name: EventLog
Time Written: 20100228131131.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Multiprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20100228131131.000000+060
Event Type: Informations
User:

=====Application event log=====

Computer Name: XPSP2-5A373D004
Event Code: 1000
Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 5
Source Name: LoadPerf
Time Written: 20100228121547.000000+060
Event Type: Informations
User:

Computer Name: XPSP2-5A373D004
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 4
Source Name: LoadPerf
Time Written: 20100228121545.000000+060
Event Type: Informations
User:

Computer Name: XPSP2-5A373D004
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 3
Source Name: LoadPerf
Time Written: 20100228121503.000000+060
Event Type: Informations
User:

Computer Name: XPSP2-5A373D004
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 2
Source Name: LoadPerf
Time Written: 20100228121500.000000+060
Event Type: Informations
User:

Computer Name: XPSP2-5A373D004
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 1
Source Name: LoadPerf
Time Written: 20100228121415.000000+060
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

-----------------EOF-----------------
0
Réponse 28 / 40
goldenshark
28 févr. 2010 à 18:13
log :


Logfile of random's system information tool 1.06 (written by random/random)
Run by Guillaume at 2010-02-28 18:08:49
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 78 GB (98%) free of 80 GB
Total RAM: 2046 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:51, on 28/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ITECIR\RemoteControlService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Guillaume\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Guillaume.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: ITE Remote Controler service (ITECIRService) - ITE Tech. Inc. - C:\Program Files\ITECIR\RemoteControlService.exe
0
Utilisateur anonyme
28 févr. 2010 à 18:30
Re

Regarde ici:C:\asdehi (ComboFix renommé) et copies ce fichier sur le bureau.

Suit ce tuto:
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que… » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que… »)


- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

@+
0
Réponse 29 / 40
goldenshark
28 févr. 2010 à 18:35
Je fais ça.

Avant d'infecter mon ordi familiale c'est cette etape qui a fait planté mon ordi j'espere ne pas réitérer la chose.

PS : Je viens de voir un dossier vide Dr guard dans mon C:\prgm files
0
Utilisateur anonyme
28 févr. 2010 à 18:37
Re

Lance ComboFix;merci

@+
0
Réponse 30 / 40
goldenshark
28 févr. 2010 à 18:41
voila combofix :

ComboFix 10-02-27.04 - Guillaume 28/02/2010 18:33:43.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2046.1464 [GMT 1:00]
Lancé depuis: c:\documents and settings\Guillaume\Bureau\asdehi.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-28 au 2010-02-28 ))))))))))))))))))))))))))))))))))))
.

2010-02-28 13:35 . 2010-02-28 13:39 -------- d-----w- C:\asdehi
2010-02-28 13:01 . 2010-02-28 13:01 -------- d-----w- C:\rsit
2010-02-28 12:59 . 2010-02-28 12:59 -------- d-----w- c:\program files\Trend Micro
2010-02-28 12:57 . 2010-02-28 12:57 -------- d-----w- c:\program files\Dr. Guard
2010-02-28 12:55 . 2010-02-28 12:57 -------- d-----w- C:\ToolBar SD
2010-02-28 12:13 . 2010-02-28 12:13 -------- d-----w- c:\windows\system32\RTCOM
2010-02-28 12:13 . 2004-08-19 12:09 4096 ----a-w- c:\windows\system32\ksuser.dll
2010-02-28 12:13 . 2004-08-03 19:15 145792 ----a-w- c:\windows\system32\drivers\portcls.sys
2010-02-28 12:13 . 2004-08-03 19:08 60288 ----a-w- c:\windows\system32\drivers\drmk.sys
2010-02-28 12:13 . 2004-08-19 11:54 58496 ----a-w- c:\windows\system32\drivers\redbook.sys
2010-02-28 12:13 . 2004-08-19 12:09 77312 ----a-w- c:\windows\system32\usbui.dll
2010-02-28 12:13 . 2004-08-03 19:07 14080 ----a-w- c:\windows\system32\drivers\CmBatt.sys
2010-02-28 12:13 . 2001-08-17 20:58 9344 ----a-w- c:\windows\system32\drivers\compbatt.sys
2010-02-28 12:13 . 2001-08-17 20:57 14080 ----a-w- c:\windows\system32\drivers\battc.sys
2010-02-28 12:11 . 2010-02-28 17:33 -------- d-----w- c:\windows\system32\CatRoot2
2010-02-28 12:11 . 2010-02-28 12:11 -------- d-----w- c:\windows\system32\CatRoot
2010-02-28 12:11 . 2010-02-28 13:35 -------- d--h--w- c:\documents and settings\Default User
2010-02-28 12:11 . 2010-02-28 11:23 -------- d-----w- C:\Documents and Settings
2010-02-28 12:11 . 2010-02-28 11:17 -------- d-----w- c:\documents and settings\All Users

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-28 16:10 . 2001-08-24 12:00 49054 ----a-w- c:\windows\system32\perfc00C.dat
2010-02-28 16:10 . 2001-08-24 12:00 368314 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-28 11:58 . 2010-02-28 11:58 -------- d-----w- c:\documents and settings\Guillaume\Application Data\Malwarebytes
2010-02-28 11:58 . 2010-02-28 11:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-28 11:58 . 2010-02-28 11:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-28 11:54 . 2010-02-28 11:54 16 ----a-w- c:\documents and settings\NetworkService\Application Data\pdytbs.dat
2010-01-07 15:07 . 2010-02-28 11:58 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2010-02-28 11:58 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
.

------- Sigcheck -------

[-] 2006-02-14 . 667192A11DB19F36624119C0DD4DE4F2 . 359808 . . [5.1.2600.2827] . . c:\windows\system32\drivers\tcpip.sys

[-] 2006-03-09 . 0D55724D88488BBFC53BC2EA219240F3 . 197632 . . [5.1.2600.2743] . . c:\windows\system32\netman.dll

[-] 2006-03-09 . CB7D37602638369A516757E994CBB31D . 397824 . . [5.1.2600.2726] . . c:\windows\system32\rpcss.dll

[-] 2006-03-09 . DA81EC57ACD4CDC3D4C51CF3D409AF9F . 57856 . . [5.1.2600.2696] . . c:\windows\system32\spoolsv.exe

[-] 2006-03-09 08:24 . D9CDB9380E0EFC9E97CC589B5F484B94 . 243200 . . [2001.12.4414.308] . . c:\windows\system32\es.dll

[-] 2006-03-09 . 8D9A075C065DFE1228688D10155D6624 . 19968 . . [5.1.2600.2751] . . c:\windows\system32\linkinfo.dll

[-] 2006-04-21 . 6DF21BA445B9491943853290B0AAC74F . 3077120 . . [6.00.2900.2883] . . c:\windows\system32\mshtml.dll

[-] 2006-03-09 . E75F7AA5A33479F29C636FD0890F5762 . 2137600 . . [5.1.2600.2622] . . c:\windows\system32\ntoskrnl.exe

[-] 2006-03-09 . 720DA0C9DB8996AD9B7F5164B2242DAA . 249344 . . [5.1.2600.2716] . . c:\windows\system32\tapisrv.dll

[-] 2006-03-09 . 0DF75FB73F705B011630159A43D7C354 . 578048 . . [5.1.2600.2622] . . c:\windows\system32\user32.dll

[-] 2006-04-12 . 241DBC4C2714B2F39AFDED49459ED420 . 667648 . . [6.00.2900.2861] . . c:\windows\system32\wininet.dll

[-] 2008-08-10 . 67D7DDB8E98D22886360D470DF66526D . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

[-] 2005-05-27 21:14 . 1EE7B434BA961EF845DE136224C30FEC . 142464 . . [5.1.2601.2180] . . c:\windows\system32\drivers\aec.sys

[-] 2006-05-09 . 50B3A210B6FA8D3089A36A32E7D8B21F . 2017280 . . [5.1.2600.2622] . . c:\windows\system32\ntkrnlpa.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-02-28_13.38.40 )))))))))))))))))))))))))))))))))))))))))
.
- 2001-08-24 12:00 . 2010-02-28 11:35 40326 c:\windows\system32\perfc009.dat
+ 2001-08-24 12:00 . 2010-02-28 16:10 40326 c:\windows\system32\perfc009.dat
+ 2001-08-24 12:00 . 2010-02-28 16:10 311938 c:\windows\system32\perfh009.dat
- 2001-08-24 12:00 . 2010-02-28 11:35 311938 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-10 16844800]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2008-08-10 630784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"Config"="c:\windows\system32\run.cmd" [2006-02-14 248]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"DisablePagingExecutive"=dword:00000001
"SecondLevelDataCache"=dword:00000200

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [28/02/2010 12:51 162512]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28/02/2010 12:51 19024]
R2 ITECIRService;ITE Remote Controler service;c:\program files\ITECIR\RemoteControlService.exe [28/02/2010 12:34 656896]
R3 ITECIR;ITE EC CIR Driver (PMC);c:\windows\system32\drivers\ITECIR.sys [28/02/2010 12:34 7808]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = hxxp://www.google.fr/
uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-28 18:35
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(916)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-02-28 18:35:54
ComboFix-quarantined-files.txt 2010-02-28 17:35

Avant-CF: 81 817 980 928 octets libres
Après-CF: 81 802 887 168 octets libres

- - End Of File - - ECAFC56A73E169B036333A7443363007
0
Utilisateur anonyme
28 févr. 2010 à 18:56
Re

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Télécharge et install UsbFix de C_XX
Ici : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir


# Double clic sur le raccourci UsbFix présent sur ton bureau.

# Choisi l option 1 (Recherche)

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaîtra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Branche cette fameuse autre clé

@+
0
Réponse 31 / 40
goldenshark
28 févr. 2010 à 19:03
voila le rapport : (avast m'a encore signalé un trojan lorsque je l'ai mise pour analyse.


############################## | UsbFix V6.097 |

User : Guillaume (Administrateurs) # XPSP2-5A373D004
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:00:25 | 28/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
AV : avast! Antivirus 5.0.83886498 [ Enabled | Updated ]

C:\ -> Disque fixe local # 78,13 Go (76,19 Go free) # NTFS
D:\ -> Disque fixe local # 154,75 Go (127,61 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 952,11 Mo (911,71 Mo free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ITECIR\RemoteControlService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\WINDOWS\explorer.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

F:\autorun.inf -> fichier appelé : "F:\DEZURNA///sladjepla.exe" ( Absent ! )
F:\autorun.inf -> fichier appelé : "F:\DEZURNA///sladjepla.exe" ( Absent ! )
F:\autorun.inf
F:\SLATKO\Desktop.ini
F:\SLATKO

################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{224399e6-248c-11df-a323-00030d732765}
Shell\AutoRun\command =DEZURNA///sladjepla.exe
Shell\open\command =DEZURNA///sladjepla.exe

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.097 ! |
0
Utilisateur anonyme
28 févr. 2010 à 20:28
Re

Il est normal que Avast se soit affolé.Relis le début du post 48.

1) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisi l option 2 (Suppression)

# Ton bureau disparaîtra et le pc redémarrera.

# Au redémarrage, UsbFix scannera ton pc, laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


2)Tu disposes de Malwaresbytes;met le à jour et lance un scan complet ;poste moi à l'issue le rapport

@+
0
Réponse 32 / 40
ro566
28 févr. 2010 à 20:55
VUNDOFIX telecharger le sa march
0
Réponse 33 / 40
goldenshark
28 févr. 2010 à 20:59
J'ai effectué usbfix 2 fois de suite :

voila le second rapport :

le scan de MBAM est en cours


############################## | UsbFix V6.097 |

User : Guillaume (Administrateurs) # XPSP2-5A373D004
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:51:34 | 28/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
AV : avast! Antivirus 5.0.83886498 [ Enabled | Updated ]

C:\ -> Disque fixe local # 78,13 Go (76,18 Go free) # NTFS
D:\ -> Disque fixe local # 154,75 Go (127,62 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 952,11 Mo (911,71 Mo free) # FAT32
G:\ -> Disque amovible # 3,87 Go (3,07 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ITECIR\RemoteControlService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-515967899-1592454029-725345543-1003
Supprimé ! D:\Recycler\S-1-5-21-515967899-1592454029-725345543-1003

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[28/02/2010 12:18|--a------|0] C:\AUTOEXEC.BAT
[28/02/2010 12:14|---hs----|212] C:\boot.ini
[24/08/2001 13:00|-rahs----|4952] C:\Bootfont.bin
[28/02/2010 18:35|--a------|8215] C:\ComboFix.txt
[28/02/2010 12:18|--a------|0] C:\CONFIG.SYS
[28/02/2010 12:18|-rahs----|0] C:\IO.SYS
[28/02/2010 12:18|-rahs----|0] C:\MSDOS.SYS
[03/08/2004 22:38|-rahs----|47564] C:\NTDETECT.COM
[03/08/2004 22:59|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[28/02/2010 20:53|--a------|2304] C:\UsbFix.txt
[28/02/2010 20:42|--a------|2933] C:\UsbFix_Upload_Me_XPSP2-5A373D004.zip
[22/02/2010 16:07|--a------|176] D:\liste logiciel.txt
[01/02/2010 16:54|--a------|38400] F:\ACCESS.doc
[04/02/2010 17:52|--a------|5000192] F:\Audema.PRH
[29/01/2010 01:22|--ah-----|146] F:\.~lock.COUTS GRIMES.xls#
[19/02/2010 17:31|--a------|619184128] G:\XP_urgence.iso
[28/02/2010 14:35|--a------|3874477] G:\ComboFix.exe

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_XPSP2-5A373D004.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.097 ! |
0
Réponse 34 / 40
goldenshark
28 févr. 2010 à 21:01
Ne le prends pas mal ro mais guillaume me suit avec beaucoup d'attention depuis le debut donc je prefere donc attendre sa confirmation. ;)
0
Utilisateur anonyme
28 févr. 2010 à 21:06
Re

1)Envoie ce fichier comme demandé:
Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_XPSP2-5A373D004.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

2)Passe à Malwaresbytes

@+
0
Utilisateur anonyme > Utilisateur anonyme
28 févr. 2010 à 21:15
Re
Poste à la suite;merci

Tu n'as pas fait un scan complet;donc fait le ;merci
@+
0
Réponse 35 / 40
ro566
28 févr. 2010 à 22:20
Suspicious.Insight Symantec
Artemis!D87E11CAB9D5 McAfee+Artemis
Heuristic.LooksLike.Trojan.Crypt.ZPACK.B McAfee-GW-Edition
TROJ_TDSS.SMA TrendMicro
Packed.Win32.TDSS.aa Kaspersky
Trojan:Win32/Vundo.gen!G Microsoft
a variant of Win32/Kryptik.CBJ NOD32
Trj/CI.A Panda
Trojan.Win32.Alureon Ikarus
Trojan.Win32.Alureon!IK a-squared
Win32:Jifas-DG Avast
Win32.Packed.TDSS.aa.5 CAT-QuickHeal
Win32:Jifas-DG GData
High Risk Fraudulent Security Program Prevx
Trojan.Packed.2936 DrWeb
Mal/EncPk-ND Sophos
UnclassifiedMalware comodo

le nom se change mais il et le meme virus bon chance et merci
0
Réponse 36 / 40
ro566
28 févr. 2010 à 22:23
jais infecte mon virtuel pc et jais fixer le avec VundoFix 100% il fonctionne bien
0
Réponse 37 / 40
goldenshark
28 févr. 2010 à 22:45
voila : peu de fichier, normal j'ai formaté ce matin, ma connexion a du mal d'ou mon long moment avant de poster.

j'ai redemarrer et il a encore du mal..

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3805
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

28/02/2010 21:29:50
mbam-log-2010-02-28 (21-29-50).txt

Type de recherche: Examen complet (C:\|D:\|F:\|G:\|)
Eléments examinés: 131894
Temps écoulé: 9 minute(s), 14 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Utilisateur anonyme
28 févr. 2010 à 22:52
Re

Windows Update>>>XP SP3
et Internet Explorer 8

Pourquoi avoir formaté?
0
Réponse 38 / 40
goldenshark
28 févr. 2010 à 23:19
voir 1er message.

Ma situation est compliqué ce soir je viens d'arriver en cité universitaire pour la semaine et j'ai pas sufisament de reseau.

La machine a pas l'air infecté mais le demarage est toujours laborieux.
0
Utilisateur anonyme
1 mars 2010 à 06:24
Bonjour

Qu'entends tu par démarrage laborieux?

Poursuivons:
1)Supprime ce fichier sur le bureau:asdehi.exe (ComboFix renommé)

2)Télécharges Toolscleaner afin de supprimer les logiciels de désinfection inutiles

---> Télécharge Toolscleaner sur ton Bureau.
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
* Double-clique sur ToolsCleaner2.exe(ou clic droit « exécuter en tant que administrateur » pour Vista)pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

3)C - Ccleaner :

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur <gras>suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur installer
.cliques sur fermer
.double-cliques sur <gras>l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur <gras>option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
. coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.clique maintenant sur registre et puis sur rechercher les erreurs
.laisse tout coché et clique sur réparer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et <gras>fermer tu vérifies en relançant <gras>rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm

4)Purge la restauration comme ceci :
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections

@+



0
Réponse 39 / 40
goldenshark
1 mars 2010 à 08:23
Les 4 etapes sont faites.

En fait le seul truc qui reste c'est que quand je demarre la barre des taches reste trop longtemps avec le sablier.

J'ai trouver uniquement comme astuce de lancer MBAM et lorsque mes icones a coté de l'horloge et le carré bleu a coté de demarrer de MBAM apparait le stop le scan et la machine à l'air de fonctionner normalement.

Sans ça impossible de faire une manoeuvre sans plantage ou de cliquer sur le menu demarrer.
0
Réponse 40 / 40
goldenshark
1 mars 2010 à 18:05
Re,

Après avoir fais plusieurs recherches et en avoir parler à un ami j'ai formater ma partition C:/ sachant que mes données étant partitioner ailleurs je ne risquais de perdre mes documents, en pensant que le virus m'avait abimé mes fichiers systèmes ce qui ralentissait le démarrage de la machine.

J'ai aussitôt réinstaller MBAM et Avast et apparemment aucun problème donc un énorme merci à toi pour toutes les manipulations que tu m'as fais faire et pour tout le temps que tu as passé sur mon cas.

J'aurai juste une question est ce que je peux utiliser USBFix pour vérifier ma clé USB avant chaque utilisation sur mon PC personnel et en supprimer les éventuelles menaces ?

J'aimerais te dire à charge de revanche mais je ne pense pas un jour pouvoir te débarbouiller. ^^
0
Utilisateur anonyme
1 mars 2010 à 18:53
Bonsoir

Ok pour le formatage.Effectivement tu peux utiliser UsbFix;mais à savoir qu'il est mis régulièrement à jour.

Bon surf et bonne continuation


Je clos le post

@+
0